よむ、つかう、まなぶ。
【資料2-4】システム運用編(案) (30 ページ)
出典
| 公開元URL | https://www.mhlw.go.jp/stf/newpage_71572.html |
| 出典情報 | 健康・医療・介護情報利活用検討会 医療等情報利活用ワーキンググループ(第29回 3/17)《厚生労働省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
➢
システム運用担当者は、企画管理者と協働して、このようなマルウェア対策についての措置を講じるほか、これに必
要な規則等の策定を行うことが求められる。
➢
これらのマルウェアは常に変化しているため、検出するためのパターンファイル等を、医療機関等のシステムの環境等
の状況を勘案して、可能な限り、常に最新のものに更新しておく必要があること。システム運用担当者は、パターン
ファイルの更新に先立ち、による医療情報システムへの影響を調査しておく等に関する情報を収集することも求めら
れる必要である。
➢
また、マルウェア対策のスキャン用ソフトウェアを導入し、適切に運用したとしても、全てのマルウェアが検出できるわ
けではない。マルウェアの対策としては、スキャン用ソフトウェアを導入するだけでなく、医療情報システム側の脆弱
性を可能な限り小さくしておくことや被害拡大の防止策を講じておくことが重要である。対策としてはそのために実
施すべき対策として、セキュリティ・ホール(脆弱性)が報告されているソフトウェアへのパッチ適用、利用していない
サービスや通信ポートの非活性化、ネットワークの構成分割やネットワーク間のアクセス制御、マクロ等の利用停止、
メールやファイルの無害化がある。また、EDR(Endpoint Detection and Response)等によるや「振る舞い
検知」などの方策も有効な方策である。なお、いずれの対策を行う場合も、対策を実施した際の業務への影響や、
対策処理の速度、や可用性に、網羅性について、事前に十分な検討することが必要である。
➢
また、医療機関等の外部で利用する端末や PC 等についても同様のリスクがあり、あることから、これらの情報機器
等についても、上記の対応を行うことが求められる。
8.2 情報機器等の脆弱性への対策
➢
システム運用担当者は、企画管理者は、医療情報システムが利用する情報機器等の脆弱性に関する情報を常
に収集し、脆弱性への対応を速やかに行う必要がある。
➢
医療機関等において、医療情報システムが利用する情報機器等には、利用者が直接利用する PC 等の端末の
ほか、医療情報システムで利用する機能等のサービスを提供するサーバや、ネットワークに関連する機器等、様々
なものが挙げられるある。
➢
近年のサイバー攻撃では、においては、近年は、情報機器等に内蔵されるファームウェアや、情報機器等に格納さ
れるプログラム等の脆弱性、EOS(End of Support:サポート終了)の対象となった情報機器等が起点とな
り、を攻撃して、外部から攻撃するなどがを受ける事案が多くみられている。特にランサムウェアなどのケースでは、必
要な脆弱性対策が見逃されたことに起因するランサムウェア攻撃ものも見られる。
➢
システム運用担当者においては、医療機関等において利用している情報機器等に関して、定期的に脆弱性スキ
ャンを行うほか、脆弱性に関するどのような脆弱性があるか、最新の情報を収集することが求められる。PC 等の
OS などに関する脆弱性情報は、OS やマルウェア対策ソフトウェアを提供する事業者などが提供しているほか、。ま
た、重大な脆弱性情報は重要なセキュリティ関する情報は、「国家サイバー統括室(NCO)」や「独立行政法
人 情報処理推進機構(IPA)」などが定期的に公表している。これらの情報を確認するほか、必要に応じて利用
する情報機器等やソフトウェアを提供する契約事業者に対応を確認するなどして、最新の情報をの入手を図るこ
とが重要であるすること。
➢
また利用するソフトウェアについて、((Software Bill of Materials:ソフトウェア部品表)が医療情報システ
ム等提供事業者から提供されることもある。医療機関等のシステム運用担当者はこれにより SBOM を用いること
で、システムの脆弱性を適切効果的に管理し、医療情報システム及びこれに接続されるシステムに対して識別さ
れた脆弱性の潜在的影響を理解し、医療情報システムの安全性及び性能可用性を維持するために対応するこ
とが可能となる脅かすリスクを低減できる。そこでそのため、システム運用担当者は、医療情報システムの導入時、
及び保守時などにおいて適宜、SBOM の提供、またはこれに基づく安全性の確認を得ることを、医療情報システ
- 20 -
システム運用担当者は、企画管理者と協働して、このようなマルウェア対策についての措置を講じるほか、これに必
要な規則等の策定を行うことが求められる。
➢
これらのマルウェアは常に変化しているため、検出するためのパターンファイル等を、医療機関等のシステムの環境等
の状況を勘案して、可能な限り、常に最新のものに更新しておく必要があること。システム運用担当者は、パターン
ファイルの更新に先立ち、による医療情報システムへの影響を調査しておく等に関する情報を収集することも求めら
れる必要である。
➢
また、マルウェア対策のスキャン用ソフトウェアを導入し、適切に運用したとしても、全てのマルウェアが検出できるわ
けではない。マルウェアの対策としては、スキャン用ソフトウェアを導入するだけでなく、医療情報システム側の脆弱
性を可能な限り小さくしておくことや被害拡大の防止策を講じておくことが重要である。対策としてはそのために実
施すべき対策として、セキュリティ・ホール(脆弱性)が報告されているソフトウェアへのパッチ適用、利用していない
サービスや通信ポートの非活性化、ネットワークの構成分割やネットワーク間のアクセス制御、マクロ等の利用停止、
メールやファイルの無害化がある。また、EDR(Endpoint Detection and Response)等によるや「振る舞い
検知」などの方策も有効な方策である。なお、いずれの対策を行う場合も、対策を実施した際の業務への影響や、
対策処理の速度、や可用性に、網羅性について、事前に十分な検討することが必要である。
➢
また、医療機関等の外部で利用する端末や PC 等についても同様のリスクがあり、あることから、これらの情報機器
等についても、上記の対応を行うことが求められる。
8.2 情報機器等の脆弱性への対策
➢
システム運用担当者は、企画管理者は、医療情報システムが利用する情報機器等の脆弱性に関する情報を常
に収集し、脆弱性への対応を速やかに行う必要がある。
➢
医療機関等において、医療情報システムが利用する情報機器等には、利用者が直接利用する PC 等の端末の
ほか、医療情報システムで利用する機能等のサービスを提供するサーバや、ネットワークに関連する機器等、様々
なものが挙げられるある。
➢
近年のサイバー攻撃では、においては、近年は、情報機器等に内蔵されるファームウェアや、情報機器等に格納さ
れるプログラム等の脆弱性、EOS(End of Support:サポート終了)の対象となった情報機器等が起点とな
り、を攻撃して、外部から攻撃するなどがを受ける事案が多くみられている。特にランサムウェアなどのケースでは、必
要な脆弱性対策が見逃されたことに起因するランサムウェア攻撃ものも見られる。
➢
システム運用担当者においては、医療機関等において利用している情報機器等に関して、定期的に脆弱性スキ
ャンを行うほか、脆弱性に関するどのような脆弱性があるか、最新の情報を収集することが求められる。PC 等の
OS などに関する脆弱性情報は、OS やマルウェア対策ソフトウェアを提供する事業者などが提供しているほか、。ま
た、重大な脆弱性情報は重要なセキュリティ関する情報は、「国家サイバー統括室(NCO)」や「独立行政法
人 情報処理推進機構(IPA)」などが定期的に公表している。これらの情報を確認するほか、必要に応じて利用
する情報機器等やソフトウェアを提供する契約事業者に対応を確認するなどして、最新の情報をの入手を図るこ
とが重要であるすること。
➢
また利用するソフトウェアについて、((Software Bill of Materials:ソフトウェア部品表)が医療情報システ
ム等提供事業者から提供されることもある。医療機関等のシステム運用担当者はこれにより SBOM を用いること
で、システムの脆弱性を適切効果的に管理し、医療情報システム及びこれに接続されるシステムに対して識別さ
れた脆弱性の潜在的影響を理解し、医療情報システムの安全性及び性能可用性を維持するために対応するこ
とが可能となる脅かすリスクを低減できる。そこでそのため、システム運用担当者は、医療情報システムの導入時、
及び保守時などにおいて適宜、SBOM の提供、またはこれに基づく安全性の確認を得ることを、医療情報システ
- 20 -